用于IOT网络的基于关系的访问控制制造技术

描述了用于管理第一计算环境内的数据访问的技术。实施例包括从第一请求实体接收访问第一资源的请求。查询被生成并被提交给基于图的数据库，以确定第一请求实体和其他实体之间的由安全策略覆盖的一个或多个关系。基于图的数据库对身份、资源和由安全策略覆盖的安全关系进行建模。实施例基于所确定的一个或多个关系和安全策略，确定第一实体是否被允许根据安全策略访问第一资源。全策略访问第一资源。全策略访问第一资源。

【技术实现步骤摘要】
【国外来华专利技术】用于IOT网络的基于关系的访问控制


[0001]本公开涉及电子设备安全，并且更具体地涉及用于使用图数据库为物联网(IOT)网络提供基于关系的访问控制的技术。

技术介绍

[0002]IoT网络以高度可用的数据和计算资源提供巨大价值。然而，这样的网络也带来了重大的安全和隐私挑战。传统上，这些挑战是通过“租用”的概念作为数据隔离的框架来解决的，但是传统的租用概念有很大的局限性。设备和数据安全是现代IoT网络日益重要的考虑因素。
附图说明
[0003]通过参考各种实施例，可以得到上面简要概述的本公开的更详细的描述，其中一些实施例在附图中示出。虽然附图示出了本公开的选择实施例，但是这些附图不应被认为是对其范围的限制，因为本公开可以允许其他同等有效的实施例。
[0004]在可能的情况下，使用相同的附图标记来表示附图中共有的相同元素。然而，在一个实施例中公开的元素可以有益地用在其他实施例中，而无需具体叙述。
[0005]图1示出了根据本文描述的一个实施例的配置有访问管理组件的系统。
[0006]图2是示出根据本文描述的一个实施例的配置有访问管理组件的系统和该系统内的数据流的框图。
[0007]图3是示出根据本文描述的一个实施例的管理第一计算环境内的数据访问的方法的流程图。
[0008]图4是示出根据本文描述的一个实施例的对身份、资源和安全关系进行建模的图数据库的组织的图。
[0009]图5是示出根据本文描述的一个实施例的RelBAC系统的元素的框图。
具体实施方式
[0010]物联网(IoT)网络以看似无处不在的数据和计算资源递送了巨大的价值，但也对安全和隐私构成了重大挑战。总的来说，IoT系统给日常生活带来了普适计算。从智能恒温器或冰箱到智能装配线或精炼厂安全装备的任何东西都可以连接到因特网，以数据和控制能力的形式递送巨大的价值。IoT数据正在变得越来越有价值，通常该数据的价值主要通过分析来解锁。分析值级联通常包括例如描述正在发生什么的描述性分析、例如给出故障细节的诊断性分析、例如可以在故障发生之前建议维护的预测性分析、例如可以在故障发生之前建议改变以避免的规定性分析、以及例如可以建议如何改进产品和生产的生产性分析。
[0011]然而，数据的“价值”不是单数量，通常数据的真实价值取决于上下文。例如，对于给定的实施例，收集的数据的价值可以取决于数据的生产、数据的使用、对数据的需要或需
求、数据的可用供应等。在当今的许多环境中，数据的价值存在，但尚未被解锁。虽然数据的大部分价值可以在报价(offer)或产品上下文内被解锁，但是在将各种异构数据体相互关联方面也存在巨大的潜在价值——跨报价、跨域、跨管理边界等。
[0012]目前，IoT数据的管理和处理通常使用“租用”的概念来完成，作为将不同管理域中的数据相互隔离的一种方式。换句话说，租用充当了数据隔离的框架。数据隔离通常非常重要，因为它涉及若干跨领域(cross
‑
cutting)的问题，诸如安全、隐私和法规遵从性。
[0013]在许多实例中，希望在IoT环境内的各个租户之间选择性地共享数据。然而，这样的共享必须被严密地管理以确保数据隐私和安全被维护，并且也可能呈现额外的安全挑战。传统上，这些安全挑战(包括租户内访问请求和租户间访问请求)是通过各种访问控制方案来解决的。例如，基于角色的访问控制(RBAC)系统将网络内的用户与各种角色相关联。RBAC系统还可以为每个相应的角色指定权限集合，被分配到这些角色的用户可以继承这些权限。此外，网络内的每个资源可以与权限集合相关联。在此上下文中，资源可以对应于IoT设备、从IoT设备收集的数据、聚合数据存储、分析应用、由这样的分析应用产生的数据等。对于每个资源访问请求，RBAC系统可以确定请求用户的权限(由分配给请求用户的一个或多个角色确定)是否匹配与所请求的资源相关联的权限集合。如果权限匹配，则访问请求可以被准许，并且如果用户的权限不足(即，用户不具有访问资源所需的权限)，则资源访问请求可以被拒绝。
[0014]基于属性的访问控制(ABAC)是另一种形式的访问控制系统，用于使IoT环境中的资源安全。在ABAC系统中，每个用户与描述用户的属性的相应访问策略相关联。例如，这样的属性可以包括用户名、职位、一个或多个用户职责等。IoT环境内的每个资源还与描述在访问相应资源被准许之前必须满足的条件的属性相关联。当资源访问请求被接收时，ABAC系统尝试将访问资源所需的属性与请求实体的属性进行匹配，并且如果所需的属性被满足，则准许访问。
[0015]虽然这样的访问控制系统解决了许多问题并提供了许多优点，但是这些访问控制系统也有局限性和缺点。例如，在特定的IoT环境中，给定的数据源可能由第一组织拥有或管理，但是数据可能由不同的组织使用或消费。在这样的环境中，数据消费者可能希望在过程的各个阶段访问数据，例如，原始数据流、在中间转换点处、在过程中的标准化或优化点处，或者作为匿名化数据集。然而，要在RBAC或ABAC系统中实现这一点，必须手动定义自定义角色和属性，以允许每个期望的访问。通常，这是手动且耗时的过程，因为每个访问请求在被批准之前由至少一个授权实体单独访问。
[0016]此外，产生大量与人相关的数据的越来越多的数据源在IoT系统中呈现了新的安全和隐私挑战。虽然单个数据集可能不会影响个人的隐私，但单个数据集中的数据理论上可以与其他数据集中关于个人或其行为的有价值的信息片段相结合或相关。由于保护数据隐私通常是IoT采用中的关键目标(尤其是当数据由其他实体共享和使用时)，这进一步使审批过程复杂化并且延长了审批过程的时间。由于安全是实施IoT解决方案的主要挑战，其中隐私和访问控制是重中之重，因此需要改进的访问控制系统。
[0017]本文描述的实施例提供了用于实现基于关系的访问控制(RelBAC)系统的技术，其中图数据库用于存储企业模型实体、关系和属性。RelBAC系统然后可以在考虑特定请求者的特定资源访问请求时评估图数据库关系，并且可以基于定义的安全策略确定资源访问请
求是否应该被准许。在一个实施例中，RelBAC系统还可以评估与资源访问请求相关联的上下文。例如，RelBAC系统可以确定资源访问请求被接收的时间、资源访问请求被接收的地理位置、资源访问请求被接收的网络位置、用于提交资源访问请求的网络连接的类型和/或身份等。更一般地，RelBAC系统在确定是否准许请求者访问所请求的资源时，可以考虑与资源访问请求相关联的任何合适的上下文属性，与本文描述的功能一致。
[0018]特定实施例提供了管理第一计算环境中的数据访问的方法。该方法包括从第一请求实体接收访问第一资源的请求。该方法还包括生成和提交对基于图的数据库的查询，以确定第一请求实体和其他实体之间的由安全策略覆盖的一个或多个关系，其中基于图的数据库对身份、资源和由安全策略覆盖的安全关系进行建模。该方法还包括基于所确定的一个或多个关系和安全策略，确定第一实体是否被允许根据本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种管理第一计算环境内的数据访问的方法，包括：从第一请求实体接收访问第一资源的请求；生成并提交对基于图的数据库的查询，以确定所述第一请求实体和其他实体之间的由安全策略覆盖的一个或多个关系，其中所述基于图的数据库对身份、资源和由所述安全策略覆盖的安全关系进行建模；以及基于所确定的一个或多个关系和所述安全策略，确定所述第一实体是否被允许根据所述安全策略访问所述第一资源。2.根据权利要求1所述的方法，其中所述第一请求实体包括第一应用，并且其中所述第一资源包括由物联网(IoT)设备收集的数据。3.根据权利要求1所述的方法，其中确定所述第一实体是否被允许根据所述安全策略访问所述第一资源还包括确定所确定的一个或多个关系是否满足由所述安全策略定义的一个或多个预定义条件。4.根据权利要求1所述的方法，其中确定所述第一实体是否被允许根据所述安全策略访问所述第一资源基于所确定的所述第一请求实体的身份、对应于所述第一资源的资源类型、所述第一请求实体的连接类型、接收到访问所述第一资源的请求的时间以及所述第一请求实体的位置。5.根据权利要求1所述的方法，其中所述安全策略包括定义了个体如何能够与所述第一计算环境内的元素交互的个体访问控制策略，以及与所述个体相关联的一个或多个权限。6.根据权利要求5所述的方法，其中所述安全策略还包括应用/服务访问控制策略，所述应用/服务访问控制策略定义了应用、服务或进程如何与所述第一计算环境内的所述元素交互。7.根据权利要求6所述的方法，其中所述安全策略还包括访问治理策略，所述访问治理策略定义了访问权限被授予用于与其他方共享资源、如何监测、审计和管理访问的规则。8.根据权利要求1所述的方法，其中所述安全策略包括多个规则，其中每个规则定义了主体和确定所述主体是否被允许访问指定资源的一个或多个关系。9.一种包含计算机程序代码的非暂时性计算机可读介质，所述计算机程序代码在由一个或多个计算机处理器的操作执行时，执行用于管理第一计算环境内的数据访问的操作，所述操作包括：从第一请求实体接收访问第一资源的请求；生成并提交对第一数据库的查询，以确定所述第一请求实体和其他实体之间的由安全策略覆盖的一个或多个关系，其中所述第一数据库对身份、资源和由所述安全策略覆盖的安全关系进行建模；确定与接收到的请求相关联的上下文；以及基于所确定的一个或多个关系、所述安全策略和所确定的上下文，确定所述第一实体是否被允许根据所述安全策略访问所述第一资源。10.根据权利要求9所述的非暂时性计算机可读介质，其中所述第一请求实体包括第一应用，并且其中所述第一资源包括由物联网(IoT)设备收集的数据。11.根据权利要求9所述的非暂时性计算机可读介质，其中确定所述第一实体是否被允
许根据所述安全策略访问所述第一资源还包括确定所确定的一个或多个关系是否满足由所述安全策略定义的一个或多个预定义条件。12.根据权利要求9所述的非暂时性计算机可读介质，其中确定与...

【专利技术属性】
技术研发人员：V丹尼尔琴科，JM布罗德尔，
申请(专利权)人：施耐德电气美国股份有限公司，
类型：发明
国别省市：